Ограничение прав дочернего процесса

первое, что приходит на ум - нужно ioperm_set (в glibc нет, вызывается через syscall) и поиграться с capabilities (man libcap)

pledge, скоро и в ваших лялихах.

Sandbox через ptrace.
Создать список разрешённых вызовов, иное запретить.
Думаю, есть готовые варианты.

lxc, docker.

скоро и в ваших лялихах.

откуда инфа?

Самое извращенное здесь, имхо, это вырезать/заменить все «опасные» вызовы на свои в своих же компиляторах/интерпретаторах. Да, потребуется мастерские скил, зато не придется мириться с тем, что надо использовать страшное и сложное в настройке ядро (читай, юзай виртуалки + selinux/docker-шмокер и не **** людям мозг, никто не поможет тебе сделать лучше ideone за бесплатно).

вы могли бы привести пример кода с вызовом ioperm_set?

к ideone система вообще никакого отношения не имеет, т.к. я пишу RPG с управлением героем с помощью кода. если программа пользователя будет использовать запрещенные вызовы, я должен не сказать аяяй и продолжить выполнение, а просто завершить ее.

упс, пардон муа, напутал вчера - не ioperm_set, а ioprio_set:

#include <sys/syscall.h>

//  кучка дефайнов, спертая, например, из "linux-4.2.7/include/linux/ioprio.h"
enum {
    IOPRIO_CLASS_NONE,
    IOPRIO_CLASS_RT,
    IOPRIO_CLASS_BE,
    IOPRIO_CLASS_IDLE,
};   
enum {
    IOPRIO_WHO_PROCESS = 1, 
    IOPRIO_WHO_PGRP,
    IOPRIO_WHO_USER,
};   
#define IOPRIO_CLASS_SHIFT (13)
#define IOPRIO_PRIO_MASK    ((1UL << IOPRIO_CLASS_SHIFT) - 1)
#define IOPRIO_PRIO_CLASS(mask) ((mask) >> IOPRIO_CLASS_SHIFT)
#define IOPRIO_PRIO_DATA(mask)  ((mask) & IOPRIO_PRIO_MASK)
#define IOPRIO_PRIO_VALUE(class, data)  (((class) << IOPRIO_CLASS_SHIFT) | data)

// и сам вызов (тут выдается текущему процессу максимальный IO приоритет)
err = syscall(SYS_ioprio_set, IOPRIO_WHO_PROCESS, 0, IOPRIO_PRIO_VALUE(IOPRIO_CLASS_RT,7));

beastie

mittorn

Если из systrace (ныне покойный) сделали selinux, то есть ненулевой шанс, что когда-нибудь и это подтянется.

тейм слишком прагматичен для луникса =)

Нашел вполне читаемый вариант песочницы на ptrace. Но тут начинается самое веселье. Для систем типа ejudge или ideone подобный подход более чем применим: перенаправялем потоки ввода/вывода, при старте даем нужные данные, по завершению забираем результат, в процессе выполнения просто вызываем wait и смотрим сигнал. Я же общаюсь с дочерними процессами хоть и по очереди, но многократно, так что просто сидеть и ждать waitpid - далеко не лучший способ (сейчас на один цикл 10 раз вызывается peekPipe с интервалом в 10мс). Есть идеи как алгоритмически реализовать песочницу для этого случая?

да на самом деле... может раскидать их по потокам?

lxc, нескоро в ваших бзд.

waitpid и основной поток?

waitpid`ы раскидать по потокам, а в основном - ждать завершения этих потоков, если нужно

как-то так...

если ждать пока поток завершится, я не смогу общаться с клиентом

ну значит просто раскидать по потокам waitpid'ы
а в основном общаться

а можно ожидать сигнала от одного из группы процессов?

конечно, просто wait

// если не знаешь заранее, какой поток завершится

тоесть можно сделать два потока, один для общения, второй для песочницы. Я так понимаю, что мои сигналы об остановке и возобновлении процесса тоже будут отображаться в ptrace?

вот про ptrace не знаю, врать не буду

Тоже скоро. ;) У fbsd — bhyve. У obsd — vmm.

выяснился один не очень приятный момент. Если делать песочицу в одном потоке - все работает нормально. Но если fork и exec выполнить в основном потоке, а ptrace в дополнительном - ptrace генерирует ошибку ESRCH. Есть предположения, из-за чего такое могло случиться и как с ним бороться?

а не может получиться так, что ptrace вызывается до того, как успеет создаться процесс?

нет. В потоке не работает, даже если сделать один шаг трассировки в основном потоке